10690930_656975584411301_948433619_n.pdf

UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERIA INDUSTRIAL

ESCUELA PROFESIONAL DE INGENIERIA INFORMÁTICA

• TEMA: POLITICAS DE SEGURIDAD.

• CURSO: SEGURIDAD INFORMATICA.

• DOCENTE: ING.WILFREDO CRUZ YARLEQUE.

• INTEGRANTES:

- CASTRO SILVA WILLIAM

- CHUQUIHUANGA ABAB GLEDY

- HERNANDEZ RAMIREZ MIJAIL

PIURA-PERÚ

2014

Índice

INTRODUCCION 1

1. POLITICAS DE SEGURIDAD INFORMATICA 2

2. OBJETIVOS 3

2.1 Objetivo Principal 3

2.2 Objetivos Específicos 3

3. ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA 3

4.DOCUMENTOS DE REFERENCIA 4

5. SITUACION DE LA SEGURIDAD INFORMÁTICA 5

6. PARÁMETROS PARA ESTABLECER POLÍTICAS DE SEGURIDAD 5

7. POLÍTICAS Y CONDICIONES De OPERACIÓN 5

7.1. Control de Acceso a la Información 5

7.1.1 Generalidades 5

7.1.2 Prohibiciones 6

7.2. Uso del correo interinstitucional 7



7.3. Uso de las Redes e Internet 8



7.4. Infraestructura de la Red 10



7.5. Uso de los Equipos de Cómputo y el Procesamiento de la Información 11



7.6. Administración de Servidores 12



8. Conclusiones 13

9. Linkografía 13

Seguridad Informática 2014-II

Políticas de Seguridad

1

INTRODUCCION

La información es un recurso que, como el resto de los activos, tiene valor para el Grupo

Empresarial Álvarez Bohl y por consiguiente debe ser debidamente protegida, garantizando la

continuidad de los sistemas de información, minimizando los riesgos de daño y contribuyendo de

esta manera, a una mejor gestión de la entidad empresarial.

Para que estos principios de la Política de Seguridad de la Información sean efectivos, resulta

necesaria la implementación de una Política de Seguridad de la Información que forme parte de la

cultura organizacional de la entidad, lo que implica que debe contarse con el manifiesto

compromiso de todos los funcionarios de una manera u otra vinculados a la gestión, para

contribuir a la difusión, consolidación y cumplimiento.

Así mismo, con el propósito de que dicha implementación pueda realizarse en forma ordenada y

gradual.



2

1) POLITICAS DE SEGURIDAD INFORMATICA

"Las políticas de seguridad informática tienen por

objeto establecer las medidas de índole técnica y

de organización, necesarias para garantizar la

seguridad de las tecnologías de información

equipos de cómputo, sistemas de información,

redes (Voz y Datos)) y personas que interactúan

haciendo uso de los servicios asociados a ellos y se

aplican a todos los usuarios de cómputo de las

empresas.”



3

2) OBJETIVOS

2.1) Objetivo Principal

Propender que los servicios tecnológicos y de comunicaciones se ofrezcan con calidad,

confiabilidad, integridad, disponibilidad y eficiencia, optimizando y priorizando su uso para

asegurar su correcta funcionalidad y brindando un nivel de seguridad óptimo.

2.2) Objetivos Específicos

a) Controlar el ancho de banda los canales de comunicación y la disponibilidad de espacio

en disco en el servidor de archivos.

b) Disminuir las amenazas a la seguridad de la información y los datos.

c) Evitar el comportamiento inescrupuloso y uso indiscriminado de los recursos.

d) Cuidar y proteger los recursos tecnológicos de la entidad en cuestión.

e) Concientizar a la comunidad sobre la importancia del uso racional y seguro de la

infraestructura informática, sistemas de información, servicios de red y canales de

comunicación.

3) ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA

Como una política de seguridad debe orientar las decisiones que se toman en relación con la

seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una

visión conjunta de lo que se considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes

elementos:

� Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.

� Objetivos de la política y descripción clara de los elementos involucrados en su definición.

� Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos

los niveles de la organización.



4

4) DOCUMENTOS DE REFERENCIA

� Seguridad en la información ISO/IEC 27001

� Ley n° 30171 Y los artículos del cual nos ampararemos legalmente.



5

5) SITUACION DE LA SEGURIDAD INFORMÁTICA

� Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el

alcance de la política.

� Definición de violaciones y sanciones por no cumplir con las políticas.

� Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

6) PARÁMETROS PARA ESTABLECER POLÍTICAS DE SEGURIDAD

Es importante que al momento de formular las políticas de seguridad informática, se

consideren por lo menos los siguientes aspectos:

� Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las

políticas a la realidad de la empresa.

� Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo

los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de

seguridad.

� Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son

ellos los interesados en salvaguardar los activos críticos en su área.

� Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma

tal, que ante cambios las políticas puedan actualizarse oportunamente.

� Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar

situaciones de tensión al momento de establecer los mecanismos de seguridad que

respondan a las políticas trazadas.

7) POLÍTICAS Y CONDICIONES DE OPERACIÓN

7.1) Control de Acceso a la Información

7.1.1) Generalidades

El acceso a los recursos de información que provee la entidad, tales como internet,

sistemas de información y redes avanzadas es suministrado a los usuarios de la

entidad como herramientas de soporte para obtener la información necesaria para

realizar de manera óptima sus actividades mediante el uso de herramientas

tecnológicas de punta, para lo cual debe cumplirse con los siguientes aspectos:



6

a) Todo tipo de información que provenga, sea transmitida o recibida por un

sistema computacional de comunicación es considerada parte de los registros

oficiales de la entidad empresarial y, por ende, está sujeta a cumplir las normas y

restricciones consignadas en este documento. Como consecuencia de esto, el

usuario, deberá siempre asegurarse que la información contenida en los mensajes

de e-mail y en otras transmisiones es precisa, apropiada, ética y constructiva.

b) Los equipos, servicios, y tecnologías proporcionadas a los usuarios para hacer

uso del Internet son en todo momento propiedad de la entidad. Por este motivo,

la esta misma se reserva el derecho a monitorear el tráfico de Internet, y retirar,

leer o verificar cualquier documento enviado o recibido a través de conexiones en

línea y que sea guardado en los computadores de dicho lugar.

7.1.2) Prohibiciones

Está prohibido a los usuarios de los sistemas de información de la Empresa,

realizar las siguientes acciones:

a) El acceso físico y/o manipulación de los servidores, switches, routers, antenas,

puntos y elementos activos de red y las bases de datos que almacenan

información privilegiada y transacciones propias de la entidad. Estas acciones

serán realizadas única y exclusivamente por el personal de la Oficina de

Informática AUTORIZADO para realizar estas labores.

b) El ingreso físico al centro de cómputo principal y demás centros de

comunicaciones. Excepto para el personal de la Oficina de Informática autorizado

para tal fin.

c) Redactar, Transmitir, accesar o recibir vía Internet, haciendo uso de las redes o

equipos de cómputo de la entidad información con contenido que pudiera ser

discriminatorio, ofensivo, obsceno, amenazante, intimidante o destructivo para

cualquier individuo u organización. Ejemplos de contenido inaceptable incluyen,

entre otros, comentarios en general o imágenes con contenido sexual,

discriminación racial, otro tipo de comentarios o imágenes que pudieran ofender a

algún individuo con base en su raza, edad, orientación sexual, creencias religiosas,

orientación política, nacionalidad, limitaciones físicas o cualquier otra

característica especial protegida por la ley.

d)El acceso físico o lógico a los servidores, switches, routers, antenas, puntos y

elementos activos de red y las bases de datos que almacenan información

privilegiada y transacciones propias de la entidad mediante el uso de herramientas

lógicas tales como programas de computación que pudieran ocasionar daños



7

permanentes en la información allí almacenada.

7.2) Uso del correo interinstitucional


Para acceder a la cuenta de correo empresarial que establezca la entidad los

usuarios deberán hacerlo a través de su plena identificación y utilizando la

contraseña correspondiente. Las cuentas de los usuarios cumplirán con los

siguientes aspectos:

a) Los usuarios deben utilizar la dirección de correo asignada por la entidad única y

exclusivamente para enviar/recibir mensajes de correo electrónico relacionados

con asuntos laborales.

b) Revisar el correo electrónico es de carácter obligatorio ya que estos han

reemplazado para muchos efectos la papelera de entrada.

c) Las cuentas de correo son personales e intransferibles. El propietario de la

cuenta es el UNICO responsable de la privacidad de la clave de acceso a su cuenta,

cualquier acción efectuada desde ésta cuenta será atribuida a dicho propietario.

d) Los correos masivos institucionales que por necesidades específicas de un área

requieran ser enviados a toda la comunidad Organizacional deben ser solicitados a

la Oficina de Informática y autorizados por la misma.

e) La apertura de archivos adjuntos debe hacerse siempre y cuando se conozca

con claridad el remitente y el asunto. Es responsabilidad del usuario el cuidado de

ejecutar archivos de fuentes desconocidas, o ciertos archivos como fotos o

imágenes reenviadas vía email.

f) Los usuarios de los correos electrónicos Organizacional que adjunten

documentos que no son propios deberán citar siempre la fuente de origen con la

finalidad de respetar los derechos de propiedad intelectual.

g) La Entidad Empresarial a través de la Oficina de Informática se reserva el

derecho de monitorear las cuentas que presenten un comportamiento sospechoso

para su seguridad.

h) La creación de los correos electrónicos institucionales es responsabilidad de la

Oficina de Informática quien define los nombres, estructura y plataforma que se

utilizará.



8


Está prohibido a los usuarios del correo organizacional, realizar las siguientes

acciones:

a) El uso de cuentas ajenas, así como la sesión de la cuenta propia a terceros.

b) Iniciar o reenviar mensajes encadenados o el envío de correo masivo.

c) Uso de seudónimos y envió de mensajes anónimos.

d) Envió de mensajes que atenten contra la dignidad humana y las garantías

fundamentales.

e) Usar el correo corporativo para fines personales, comerciales, publicitarios,

religiosos o políticos.

f) Generar o enviar correos electrónicos a nombre de otra persona o

suplantándola.

g) Enviar archivos adjuntos de tamaño mayor a 5 MB y/o archivos ejecutables.

7.3) Uso de las Redes e Internet


La Internet es el método más común de contagio y de riesgo informático que una

compañía puede enfrentar. Es por esto que deben seguirse las siguientes acciones

para proteger la integridad de la información y los sistemas y proteger el ancho de

banda con que cuenta la entidad empresarial:

a) El internet de la organización, únicamente puede ser usado con fines

EMPRESARIALES.

b) El Internet organizacional debe emplearse como una herramienta para

investigación, desarrollo, consulta y comunicación de actividades relacionadas con

los procesos de la empresa.

c) El Internet de la entidad puede llegar a tener fines didácticos permitiéndole a los

usuarios tomar cursos de capacitación por Internet en temas que enriquezcan su

labor dentro de la organización.

d) El Internet es el medio de difusión de la página Web de la entidad y por lo tanto

toda la comunidad empresarial tendrá acceso a ella.



9

e) Se restringe el uso e instalación sin previa autorización de la Oficina de

Informática, de programas de Chats tales como: movistar chat, tuenti, Facebook,

twitter o Similares, excepto los autorizados para chat interno. En adelante, para

que este servicio sea instalado en algún equipo, los jefes de área/facultad deberán

pasar la solicitud a la Oficina de Informática explicando los motivos por lo que

necesitan este tipo de sistemas en sus áreas.

f) Se restringe el acceso a las redes sociales Facebook, twitter, tuenti o similares en

los horarios de 6:00 A.M. a 12:00 P.M. y de 2:00 P.M. a 9:00 P.M.


Está prohibido a los usuarios de la red e internet de la organización, realizar las

siguientes acciones:

a) Ingresar a páginas de dudoso contenido o autoría.

b) El acceso a sitios pornográficos, sitios religiosos dedicados a difundir las

creencias de alguna religión o secta en particular, acceso a sitios web de alzados

en armas o de grupos terroristas a nivel nacional o internacional dedicados a

difundir temas relacionados con violencia.

c) Utilizar el canal de conexión a Internet para descargar e instalar música, videos y

archivos ejecutables mediante programas tales como whatsapp, Ares, tube catcher

y similares.

d) Bajar programas (software), sin la debida autorización de la Oficina de

Informática, tales como: Shareware, Freeware, software de evaluación, etc.

Archivos de música (MP3, WAV, etc.) ya que estos no poseen licencia para su uso

en la entidad.

e) Usar el Internet para realizar llamadas internacionales (Dialpad, NET2PHONE,

FREEPHONE, etc.).



10

7.4) Infraestructura de la Red


La entidad cuenta con la infraestructura de red que comprende todo el cableado,

switches, routers, antenas y sistemas inalámbricos que permiten realizar la

conexión.

La Oficina de Informática definirá el manejo de la infraestructura de la red

dependiendo de las necesidades del servicio, con el fin de mantenerla y utilizar de

la mejor forma los recursos existentes.

a) Pruebas de Chequeo de Vulnerabilidades: La Oficina de Informática realizara

estudios periódicos a la red para evaluar la vulnerabilidad de la misma.

b) Para efectos de realizar mantenimiento de la red y seguridad, la Oficina de

Informática, podrá monitorear equipos, sistemas y tráfico de red en cualquier

momento.


Está prohibido a los usuarios de la red e infraestructura tecnológica de la entidad

empresarial, realizar las siguientes acciones:

a) Utilizar la infraestructura de tecnología de información y redes de la

organización para conseguir o trasmitir material con ánimo de lucro excepto

cuando se trate de cumplir con fines institucionales; igualmente está prohibido su

utilización para hacer algún tipo de acoso, difamación, calumnia o cualquier forma

de actividad hostil en contra de miembros de la comunidad organizacional y en

general de cualquier persona o empresa.

b) Ejecutar cualquier herramienta o mecanismo de monitoreo de la red de manera

no autorizada.

c) Burlar los mecanismos de seguridad, autenticación, autorización o de auditoría

de cualquier servicio de red, aplicación, servidor o cuenta de usuario.

d) Desconectar o manipular los elementos de red tales como swtiches, routers,

antenas, racks y demás elementos pertenecientes a la infraestructura de red de la

entidad.

e) Modificar la configuración de red establecida en los equipos de cómputo de

cualquier dependencia o sala.



11

7.5) Uso de los Equipos de Cómputo y el Procesamiento de la Información


La información almacenada y el manejo de las estaciones de trabajo o los equipos

portátiles de la entidad deberán cumplir con las siguientes pautas:

a) Los equipos asignados a cada uno de los usuarios de la entidad se consideran

propiedad de la institución y por lo tanto, esta última es la encargada de decidir las

aplicaciones que se han de manejar en cada equipo, la instalación o desinstalación

de aplicaciones de software por parte de usuarios queda restringida mediante esta

política.

b) El uso de los recursos informáticos debe limitarse única y exclusivamente a fines

institucionales.

c) Todas y cada una de las máquinas de la entidad se encuentran trabajando en

red y deben ser validadas por un dominio.

d) Cada usuario es el único responsable de la administración y el buen uso de su

nombre de usuario y contraseña de red y por lo tanto, será responsable de las

acciones realizadas por terceros quienes conozcan su clave de ingreso a las redes

corporativas.


Con respecto al almacenamiento de información:

a) Almacenar información de índole personal como videos, fotos, música entre

otros.

b) El uso de equipos, redes, espacio en servidor, impresoras, entre otros para

almacenar o realizar labores de índole personal.

c) Alterar o copiar un archivo perteneciente a otro Usuario sin el previo

consentimiento del dueño del archivo.



12

7.6) Administración de Servidores


La administración de los servidores de la entidad empresarial debe cumplir con los

siguientes criterios:

a) Los servidores deben tener un esquema de copias de respaldo y recuperación

para casos de desastre.

b) Los servidores deben tener un esquema para mantener registros digitales de

acceso y operación.

c) Los administradores de servidores son responsables de cumplir todas las

políticas, la Oficina de Informática debe realizar revisiones periódicas a los mismos

con la finalidad de mejorar la seguridad o detectar fallas.


Está prohibido a los usuarios de la tecnología de procesamiento de información y

redes de la entidad empresarial lo siguiente:

a) Violación de los derechos de cualquier persona o institución protegidos por

derechos de autor, patentes o cualquier forma de propiedad intelectual.

b) Realizar copia no autorizada de material protegido por derecho de autor que

incluye, pero no está limitado a, digitalización y distribución de imágenes y

fotografías de cualquier origen, música, audio, video, distribución o instalación de

software sin licencia ni autorización de la organización.

c) Exportar software o información técnica sin la autorización expresa de la

entidad.

d) Introducir software malicioso en la red o en los servidores (virus, Worms,correo

no deseado, spam, etc).

e) Revelar la clave o contraseña de sus cuentas de los sistemas de información de

la organización a otros, o permitir su uso a terceros para actividades ajenas a la

misión institucional.

f) Proporcionar información confidencial a personas o entidades sin la debida

autorización o violando las políticas sobre manejo de la información confidencial.



13

8) CONCLUSIONES

Para llevar a cabo la implementación de las políticas de seguridad es necesario tener bien en

claro las políticas, leyes y artículos legales al igual que los estándares internacionales(IEEE); los

cuales nos brindaran una visión detallada respecto a lo que se puede restringir y el nivel de

libertad que se le dará al usuario .

Para poder ejecutar las políticas antes mencionadas es necesaria y de gran relevancia la

autorización del representante legal de la entidad empresarial en cuestión, con el fin de evitar

imprevistos legales.

9) LINKOGRAFÍA

� http://www.aec.es/c/document_library/get_file?uuid=a89e72de-d92b-47cf-ba5e-

5ea421fcbeb4&groupId=10128.

� http://www.leyes.congreso.gob.pe/Documentos/Leyes/30171.pdf.

� http://www.segu-info.com.ar/articulos/67-ieee-standares-802-2.htm

� http://www.expresionbinaria.com/la-seguridad-de-informacion-tratada-en-capas/

Documents

10690930_656975584411301_948433619_n.pdf